robsonphoto - stock.adobe.com

Gestion des vulnérabilités : le tonneau des Danaïdes

La gestion des vulnérabilités peut apparaître à beaucoup comme un perpétuel recommencement. Et ce n’est probablement pas erroné. Pour autant, les raisons d’avancer ne manquent pas. Et cela commence par le dépassement de biais psychologiques assorti de méthode.

En mars 2018, Magento publiait un correctif pour des vulnérabilités critiques permettant l’exécution de code à distance. Les serveurs de messagerie Exim ont connu le même genre d’expérience dans le courant de l’année. Dans le courant de l’été, ce fut au tour d’appareils utilisant VxWorks. Au sortir de l’hiver précédent, c’était le runtime runC utilisé par Docker et Kubernetes qui faisait l’objet d’une telle annonce.

Et puis l’année a également été marquée par l’annonce d’au moins 47 000 serveurs à carte mère supermicro au sous-système d’administrateur vulnérable, et exposé sur Internet. Et ce n’est pas la seule susceptible d’être utilisée pour des attaques, que l’on trouve exposée en ligne. Il faut ajouter à cela les services SMBv1, les services RDP, mais aussi – et c’est plus attendu – des serveurs VPN. Mais il a fallu tout de même que l’Agence nationale pour la sécurité des systèmes d’information se fende d’une alerte dans le courant de l’été pour encourager à l’application de correctifs disponibles pour ces serveurs.

La gestion des vulnérabilités constitue l’une des bases de la cybersécurité. Mais comme beaucoup d’autres, elle est encore loin d’être assurée. Selon un sondage OpinionWay, les RSSI membres du Cesin plaçaient ainsi, en début d’année, les « vulnérabilités résiduelles permanentes » en seconde place des risques les plus fréquemment rencontrés.

Une surprise ? Non. L’an dernier, les conclusions des équipes de test d’intrusion de Rapid7 étaient sans pitié. Ainsi, sur 268 engagements – d’une durée d’une semaine en grande majorité –, seuls 67 ont fait ressortir un environnement dépourvu de vulnérabilités exploitables. Pour tous les autres, l’éventail est impressionnant et commence par des systèmes de partage de ressources en réseau vulnérables aux attaques par relais SMB – et cela vaut même pour 3 engagements externes ! Viennent ensuite le scripting intersites, l’élévation de privilèges, les injections SQL, etc.

La bonne nouvelle, serait-on tenté de dire, est que les entreprises ayant choisi de recourir aux prestations de Rapid7 ont fait preuve d’une maturité en progression. Ainsi, près d’un tiers ont demandé des tests internes, à savoir à partir d’une connexion à l’infrastructure, et non pas seulement des tests externes. Pour l’édition 2016 de l’étude de l’éditeur, cette part n’était que de 21 %.

« Les organisations adoptent, en général, une approche plus globale de leur sécurité réseau et sont plus enclines à évaluer tant leurs surfaces d’attaque interne qu’externe ».
Équipes Rapid7

Pour Rapid7, c’est là le signe que « les organisations adoptent, en général, une approche plus globale de leur sécurité réseau et sont plus enclines à évaluer tant leurs surfaces d’attaque interne qu’externe ». Mais on soulignera toutefois qu’il faut probablement déjà une bonne dose de maturité pour faire appel à des tests d’intrusion…

Et cette année, les chiffres ne sont guère meilleurs. Dans seulement 4 % des engagements, l’environnement ciblé s’est avéré dépourvu de vulnérabilités. Mais on relèvera que dans seulement 19,4 %, des vulnérabilités exposées à l’extérieur ont permis de s’inviter dans l’environnement interne. Dans les réseaux internes, la vulnérabilité aux attaques par relais SMB continue de tenir la plus haute marche du podium.

Fin mai dernier, volontairement provocateur, Anton Chuvakin, alors sur le point de quitter Gartner au profit de Chronicle, interrogeait : « la gestion des vulnérabilités, telle qu’elle est pratiquée aujourd’hui par beaucoup – constitue-t-elle un effort sans espoir ? »

D’une certaine manière, l’analyste renvoyait ainsi aux propos tenus quelques jours plus tôt par Amit Yoran, PDG de Tenable, et pour qui, en sécurité, « nous avons été entraînés à croire que nous sommes impuissants », du moins face aux assaillants les plus avancés, les plus organisés, comme ceux soutenus par des États-nations. Mais pour Amit Yoran, « c’est n’importe quoi ».

Et il y a une bonne raison à cela : la majorité des brèches ne trouvent pas leur origine dans l’exploitation de vulnérabilités inédites, mais « de mauvaises pratiques de gestion des vulnérabilités, et de gestion de l’identité et des accès ».

Alors oui, les menaces avancées persistantes s’attirent beaucoup d’attention, jusqu’aux directions des entreprises, mais encore une fois : « pas une seule des grandes brèches dont vous avez entendu parler dans les médias, comme Equifax, n’était due à l’exploitation de vulnérabilités inédites » et pour lesquelles aucun correctif n’était disponible. En 2016, Curtis Dukes, responsable adjoint aux systèmes de sécurité de la NSA, ne disait pas autre chose.

Provocation mise à part, Anton Chuvakin, avançait alors quelques pistes pour améliorer la situation : mieux hiérarchiser – et là, « les éditeurs se sont finalement réveillés, même si ça leur a pris du temps » ; appliquer plus vite les correctifs ; changer l’approche – en utilisant des outils permettant d’éviter l’exploitation d’une vulnérabilité existante, comme des systèmes de prévention d’intrusion pour les hôtes (HIPS). Le reste, comme le recours à l’automatisation massive des infrastructures, pour celui qui était alors encore analyste, « n’est encore qu’une idée à ce stade ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)